TPM не используется во время обычных операций доступа к зашифрованным данным.
BitLocker не использует TPM для хранения ключа, используемого для выполнения операций дешифрования / шифрования «на лету», которые защищают данные на томе с шифрованием BitLocker. Это немного сложно, но вот краткое объяснение того, как используются соответствующие ключи:
- Данные, записанные на том, защищенный BitLocker, шифруются с полный ключ шифрования (FVEK). Этот ключ не изменяется до тех пор, пока BitLocker не станет полностью удален из тома.
- FVEK шифруется с помощью главный ключ громкости (VMK) затем сохраняется (в зашифрованном виде) в метаданных тома.
- VMK, в свою очередь, шифруется одним или несколькими протекторы , например, TPM или ключ восстановления.
Вы можете объединить TPM с цифровым PIN-кодом или с частичным ключом, хранящимся на USB-накопителе, для повышения безопасности. Каждый из них является формой двухфакторной аутентификации. Если на вашем компьютере нет совместимого чипа TPM и BIOS, BitLocker может быть настроен на полное сохранение ключа на USB-накопителе. Это называется ключом запуска.
BitLocker может быть отключен без расшифровки данных; в этом случае VMK защищен только новым средством защиты ключей, которое хранится в незашифрованном виде. Обратите внимание, что этот прозрачный ключ позволяет системе получить доступ к диску, как если бы он был незащищенным.
На следующем рисунке показан обратный процесс, происходящий при аутентификации пользователя с помощью BitLocker (обратите внимание, что аутентификация обычно означает аттестацию оборудования от TPM)
Понятно, что роль TPM состоит в том, чтобы просто «хранить» зашифрованную копию VMK, которая, в свою очередь, используется для расшифровки FVEK. Именно FVEK используется в реальном процессе шифрования / дешифрования, который используется при доступе к данным на диске.
Более подробную информацию об этом процессе можно найти на TechNet ,